OpenSSL 3.2.0 正式 GA

OpenSSL 开发团队宣布，OpenSSL 3.2 系列的第一个版本 —— OpenSSL 3.2.0 正式 GA。

OpenSSL 3.2 实现了针对 QUIC 的初版客户端，QUIC 是 Google 开发的通用传输层网络协议，后来被 IETF 采用。 对于 OpenSSL 3.3 和明年的 OpenSSL 3.4，他们的目标是进一步完成此实现。

此外还增加了对 TLS 1.3 中 Brainpool 曲线的支持、原始公钥 (RFC7250) 支持、使用 Brotli 和 Zstd 进行证书压缩的支持、SM4-XTS 支持、确定性 ECDSA 签名、AES-GCM-SIV、混合公钥加密 (HPKE) ），以及其他特性。

OpenSSL 3.2 还将默认的 SSL/TLS 安全级别从 1 更改为 2。

OpenSSL 3.2.0 主要变化

1. 客户端QUIC支持，包括对多个流的支持（RFC 9000）
2. 在TLS中支持证书压缩（RFC 8879），包括对zlib、zstd和Brotli的支持
3. Deterministic ECDSA（RFC 6979）
4. 除了对Ed25519和Ed448的现有支持外，还支持Ed25519ctx、Ed25519ph和Ed448ph（RFC 8032）
5. AES-GCM-SIV（RFC 8452）
6. Argon2（RFC 9106）和支持线程池功能
7. HPKE（RFC 9180）
8. 在TLS中使用原始公钥的能力（RFC 7250）
9. 如果操作系统允许，支持TCP Fast Open（RFC 7413）
10. 在TLS中支持基于提供者的可插拔签名方案，使第三方post-quantum和其他算法提供者能够在TLS中使用这些算法
11. 在TLS 1.3中支持Brainpool曲线
12. SM4-XTS
13. 支持使用Windows系统证书存储作为受信任根证书的来源。该功能尚未默认启用，需要使用环境变量进行激活。预计在未来的功能版本中，这将成为默认启用的功能

详情查看 NEWS 文件和 CHANGES 文件。

对新的QUIC功能感兴趣的用户，建议阅读QUIC的README文件，其中提供了相关文档和示例代码的链接。

OpenSSL 3.3将是OpenSSL 3.2之后的下一个功能性更新，最迟将于2024年4月30日发布。预计该版本将包括QUIC服务器支持。